Netscreen VPN问题汇总
出处:5DMail.Net收集整理 作者:Torry 时间:2006-11-3 10:40:00
一、千万不在再说,netscreen作vpn一定要固定ip
最近测试一个remote方案的,中心点adsl用ns拨出,远程remote8配合动态域名软件(推荐华生壳2.0),非常理想。对于ns硬件之间的访问估计不久ns就会推出新的os以支持用域名来做为动态网关!!!
关于remote+netscreen硬件组成的vpn
1、调好ns的ppoe和nat
2、去xicp。net注册免费账号和二级域名,并激活域名。
3、t下载花生壳2。0(稳定性高很多)
4、在本地(ns端)局域网任何一台电脑上安装花生壳2。0(最好是常开的服务器)
5,安装调试remote,在新建连接的gateway tunnel选项中选择 any,
6、在gateway hostname下面陷入你在账号中激活的免费二给域名
7。其他调试和平时一样
----------------------
二、
是不是PC一定要装remote才能使用WIN自带的VPN拨号软件与netscreen建立VPN?
WINXP或WIN2K与netscreen建立VPN连接,最简单的配置方法是什么?
最好可以不采用证书认证的!!!直接在NETSCREEN和WIN上做配置就可以解决的。
用L2TP就可以了,挺简单的,把NS说明书的第四章的L2TP部分好好看一下就可以做的.
多谢Torry的点拨,我刚Win2000下试成功,不用Netscreen Remote Client软件也能与Netscreen VPN Server建立VPN连接。
书中可供参考的部分摘录如下:
在ScreenOS端的设置
一、设置L2TP 用户
1. Objects > Users > Local > New:输入以下内容,然后单击OK:
User Name: Adam
Status: Enable
L2TP User: (选择)
User Password: AJbioJ15
Confirm Password: AJbioJ15
2. Objects > Users > Local > New:输入以下内容,然后单击OK:
User Name: Betty
Status: Enable
L2TP User: (选择)
User Password: BviPsoJ1
Confirm Password: BviPsoJ1
3. Objects > Users > Local > New:输入以下内容,然后单击OK:
User Name: Carol
Status: Enable
L2TP User: (选择)
User Password: Cs10kdD3
Confirm Password: Cs10kdD3
二、设置L2TP 用户组
4. Objects > User Groups > Local > New:在“Group Name”字段中,键入fs,执行以下操作,然后单击
OK:
选择Adam,然后使用<< 按钮将它从“Available members”列中移动到
“Group members”列中。
选择Betty,然后使用<< 按钮将它从“Available members”列中移动到
“Group members”列中。
选择Carol,然后使用<< 按钮将它从“Available members”列中移动到
“Group members”列中。
三、缺省L2TP 设置
5. Objects > IP Pools > New:输入以下内容,然后单击OK:
IP Pool Name: global
Start IP: 10.10.2.100
End IP: 10.10.2.180
6. VPNs > L2TP > Default Settings:输入以下内容,然后单击OK:
IP Pool Name: global
PPP Authentication: CHAP
DNS Primary Server IP: 210.11.6.2
DNS Secondary Server IP: 210.11.40.3
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0
四、设置L2TP 通道
7. VPNs > L2TP > Tunnel > New:输入以下内容,然后单击OK:
Name: sales_corp
Dialup Group: Local Dialup Group - fs
Authentication Server: Local
Outgoing Interface: ethernet3
Peer IP: 0.0.0.0
Host Name (optional):可以空着。
Secret (optional): 可以空着。
五、策略
8. Policies > (From: Untrust, To: Trust) New:输入以下内容,然后单击OK:
Source Address:
Address Book: Dial-Up VPN
Destination Address:
Address Book: Any
NAT: Off
Service: ANY
Action: Tunnel
Tunnel L2TP: sales_corp
Position at Top:(选择)
在Win2000上创建VPN 客户端连接
1、双击“控制面板\网络和拨号连接\新建连接”,然后“下一步”
2、“网络连接类型”选择“通过Internet连接到专用网络”,点“下一步”
3、公用网络,根据自己情况选择“不拨初始连接”或“自动拨此初始连接”,然后“下一步”
4、输入VPN SERVER 的域名或IP地址,点“下一步”
5、最后给此链接起个名字就完成了这个新链接的创建
6、还需要修改一下此链接的属性,右键点此新链接,选择“属性”,在“安全措施”那里选中“高级”
7、点“设置”按钮,在“数据加密”那里选择“可选数据加密(没有加密也可以连接)”,然后“确定”保存就全部完成了
双击这个新创建的拨号连接,输入用户名和密码进行连接。用户名和密码就是前面新增用户时输入的名字和密码。
但我上述方法在winXP下没有试成功,因为Winxp中“我正在呼叫的VPN服务器类型”选项里好像没有单一的L2TP,只有L2TP IPSec。
因此再请教一下Torry该怎么设呢?是否要修改server端的设置?
多谢。
nod.楼上的说法基本上都是正确的说,xp确实是使用了与ipsec相结合的方式。原因偶已经前天在坛子中说过了,今天再说最后一次:
pptp,由Microsoft和Cisco合作开发提出,跑在链路层,使用Microsoft mppe进行加密。有40位和128位加密之分。
L2TP,需要ISP支持,加密方式采用mppe和ipsec。
ipsec,跑在网络层,一般需要安装专用的Client Software。
pptp、l2tp、ipsec是3种风牛马不相及的DD,没有任何的联系的技术体系构架,只不过它们都可以用来实现远程访问的VPN罢了!!
经过努力,已经试通了在WINXP下的L2TP连接
针对以前的一些疑问,心得如下,供参考:
1、大部分的设置与在w2k下一样,参看小弟在楼上所贴的相关设置
2、Netscreen VPN server端无需更改设置
3、在WinXP下,修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters,新增或修改ProhibitIpSec的值为1
4、如果客户端是在局域网中,需避免与远程网络在同一个子网中
曾遇到到Fushun兄说的问题,已经开始验证密码和身份了,但最终失败。后来修改本地子网后就没问题了
希望能有帮助
-----------------------
三、
我公司通过netscreen 50做公司防火墙,客户端安装netscree remote远程拔号登陆到公司邮件服务器和文件服务器.但是发现客户端通过拔号上网的方式接入internet,然后打开netscreen remote通过outlook来收发email没有问题.
若通过adsl或vdsl拔号接入internet,然后打开netscreen remote 通过outlook来收发email,发现outlook打开后此程序没有响应,或者outlook打开后公司内部邮箱通讯薄无法找到,客户端不能收发email.
请各位高手指点,不甚感激.
可能问题有几种:
1、ISP接入提供商有没有对加密所需要使用的端口和协议进行控制
2、修改一下tcp包长的最大值,通常应该设置在1400以下
3、机器自身有没有防火墙或者相关的代理设置
谢谢大家支持。
1、我修改了netscreen防火墙的tcp包长大小,更改为1200。登陆公司服务器很快,也可从文件服务器取文件,但是打开outlook仍然没有响应。
2、我的测试手提没有安装任何防火墙软件和相关的代理设置。
3、若是跟ISP提供商有头问题,该如何资询?提出哪此具体要求?
4、hosttechnology朋友,你是如何配置的,请赐教。
---------------------
四、
基于路由的VPN和基于策略的VPN有什么区别,默认情况下是用哪一种方式的VPN,在FIREWALL中怎样看得出是基于路由的VPN还是基于策略的VPN,远程客户端(安装了ns remote client)配置完成后怎样与FIREWALL建立连接,要不要配置WINDOWS自带的L2TP进行拨号,
我测试了一下,配置完客户端再用L2TP拨号客户端建立了连接,但L2TP拨不进去,也无法PING通FIRWALL后面的内网IP,直接输入内网IP访问也不行.
基于策略的VPN,是先建好通道,然后在策略中允许VPN流量的进入.
基于路由的VPN,是先做好TUNNEL接口,并定义路由,把通道绑定到通道接口上,这样把流量引导至VPN通道.
REMOTE端配置完成后,只需要通过IPSEC协议就可以建立VPN通道的.